GitHub
El programari maliciós és capaç d'identificar els fitxers del projecte NetBeans i afegir el seu codi als fitxers del projecte i als fitxers JAR compilats. L'algorisme de treball es redueix a trobar el directori NetBeans amb els projectes de l'usuari, enumerar tots els projectes d'aquest directori, copiar l'script maliciós a
Quan el fitxer JAR infectat va ser descarregat i llançat per un altre usuari, va començar un altre cicle de cerca de NetBeans i d'introducció de codi maliciós al seu sistema, que correspon al model operatiu dels virus informàtics autopropagats. A més de la funcionalitat d'autopropagació, el codi maliciós també inclou la funcionalitat de la porta posterior per proporcionar accés remot al sistema. En el moment de l'incident, els servidors de control de la porta posterior (C&C) no estaven actius.
En total, en estudiar els projectes afectats, es van identificar 4 variants d'infecció. En una de les opcions, per activar la porta del darrere a Linux, es va crear un fitxer d'inici automàtic "$HOME/.config/autostart/octo.desktop" i, a Windows, es van llançar tasques mitjançant schtasks per llançar-lo. Altres fitxers creats inclouen:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Biblioteca/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Biblioteca/LaunchAgents/SoftwareSync.plist
- $HOME/Biblioteca/LaunchAgents/Main.class
La porta del darrere es podria utilitzar per afegir marcadors al codi desenvolupat pel desenvolupador, filtrar el codi dels sistemes propietaris, robar dades confidencials i fer-se càrrec dels comptes. Els investigadors de GitHub no descarten que l'activitat maliciosa no es limiti a NetBeans i pot haver-hi altres variants d'Octopus Scanner que s'incorporen al procés de creació basat en Make, MsBuild, Gradle i altres sistemes per difondre's.
No s'esmenten els noms dels projectes afectats, però poden ser-ho fàcilment
Font: opennet.ru